3. 

        2. 突發(fā)!Spring Cloud 爆高危漏洞。。趕緊修復(fù)!
        共
                2009字,需瀏覽
                    5分鐘
                
         ·
        2022-03-15 15:23
        
                    

                    
                    
                    
                    
        程序員的成長之路
        互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?
        關(guān)注

        閱讀本文大概需要 2.8 分鐘。
        來自:網(wǎng)絡(luò)
        Spring Cloud 突發(fā)漏洞
        Log4j2 的核彈級漏洞剛告一段落,Spring Cloud Gateway 又突發(fā)高危漏洞,又得折騰了。。。
        2022年3月1日,Spring官方發(fā)布了關(guān)于Spring Cloud Gateway的兩個CVE漏洞,分別為CVE-2022-22946與CVE-2022-22947:

        版本/分支/tag:?3.4.X
        問題描述

        Spring Cloud Gateway 是 Spring Cloud 下的一個項目,該項目是基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技術(shù)開發(fā)的網(wǎng)關(guān),它旨在為微服務(wù)架構(gòu)提供一種簡單有效、統(tǒng)一的 API 路由管理方式。

        漏洞1Spring Cloud Gateway?遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-22947)
        3 月 1 日,VMware 官方發(fā)布安全公告,聲明對 Spring Cloud Gateway 中的一處命令注入漏洞進行了修復(fù),漏洞編號為 CVE-2022-22947:
        https://tanzu.vmware.com/security/cve-2022-22947

        漏洞描述

        使用 Spring Cloud Gateway 的應(yīng)用如果對外暴露了 Gateway Actuator 端點時,則可能存在被 CVE-2022-22947 漏洞利用的風(fēng)險。攻擊者可通過利用此漏洞執(zhí)行 SpEL 表達(dá)式,允許在遠(yuǎn)程主機上進行任意遠(yuǎn)程執(zhí)行。,獲取系統(tǒng)權(quán)限。

        影響范圍

        漏洞利用的前置條件:
        1. 除了 Spring Cloud Gateway 外,程序還用到了 Spring Boot Actuator 組件(它用于對外提供 /actuator/ 接口);
        2. Spring 配置對外暴露 gateway 接口,如 application.properties 配置為:
        # 默認(rèn)為truemanagement.endpoint.gateway.enabled=true
        # 以逗號分隔的一系列值,默認(rèn)為 health# 若包含 gateway 即表示對外提供 Spring Cloud Gateway 接口management.endpoints.web.exposure.include=gateway

        漏洞影響的 Spring Cloud Gateway 版本范圍:
        • Spring Cloud Gateway 3.1.x < 3.1.1
        • Spring Cloud Gateway 3.0.x < 3.0.7
        • 其他舊的、不受支持的 Spring Cloud Gateway 版本

        解決方案

        更新升級 Spring Cloud Gateway 到以下安全版本:
        • Spring Cloud Gateway 3.1.1
        • Spring Cloud Gateway 3.0.7

        或者在不考慮影響業(yè)務(wù)的情況下禁用 Gateway actuator 接口:
        在application.properties 中設(shè)置?:
        management.endpoint.gateway.enabledfalse。

        漏洞2CVE-2022-22946:Spring Cloud Gateway HTTP2 不安全的 TrustManager

        漏洞描述

        使用配置為啟用 HTTP2 且未設(shè)置密鑰存儲或受信任證書的 Spring Cloud Gateway 的應(yīng)用程序?qū)⒈慌渲脼槭褂貌话踩?TrustManager。這使得網(wǎng)關(guān)能夠使用無效或自定義證書連接到遠(yuǎn)程服務(wù)。

        影響范圍
        Spring Cloud Gateway = 3.1.0

        解決方案
        官方已經(jīng)發(fā)布安全版本,請升級到3.1.1+

        參考資料
        官方已經(jīng)發(fā)布安全版本,請升級到3.1.1+
        • https://tanzu.vmware.com/security/cve-2022-22946
        • https://tanzu.vmware.com/security/cve-2022-22947

        推薦閱讀:
        稅前110萬!
        關(guān)于Java 獲取時間戳的方法,我和同事爭論了半天~
        互聯(lián)網(wǎng)初中高級大廠面試題(9個G)
        內(nèi)容包含Java基礎(chǔ)、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬并發(fā)、消息隊列、高性能緩存、反射、Spring全家桶原理、微服務(wù)、Zookeeper、數(shù)據(jù)結(jié)構(gòu)、限流熔斷降級......等技術(shù)棧!
        ?戳閱讀原文領(lǐng)??!? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??朕已閱?
        
                
        瀏覽
                    46
        點贊
    
        評論
    
        收藏
    
        分享
        
        手機掃一掃分享
        分享
    
        
        舉報
    
        評論
        圖片
        表情
        推薦
        
        點贊
    
        評論
    
        收藏
    
        分享
        
        手機掃一掃分享
        分享
    
        
        舉報
    
        

          

          3. 

              2. 
无码在线肏屄
|
国产女人18毛片水多18精品
|
国产精品久久久久永久免费观看
|
搡女人的免费高清视频网址
|
国产aⅴ一区二区三区精华液
|